Yeni Tehdit: AryStinger Malware’ı
Unutulmuş ev router’larını, genellikle DDoS botnetlerine dönüştüren yeni bir malware ailesi olan AryStinger, dünya genelinde en az 4,300 enfekte olmuş router ile dikkat çekiyor. Bu durum, siber güvenlik açısından büyük bir tehdit oluşturuyor, çünkü AryStinger, saldırıların ilk aşamasında kritik bir rol üstleniyor.
Saldırı Nasıl Çalışıyor?
AryStinger, enfekte olan cihazlar üzerinden internette tarama yaparak, servis parmak izi çıkarma, alt alan adlarını listeleme, trafik tunneling ve talep üzerine komut çalıştırma işlevlerini yerine getirir. Her bir router, gerçek saldırganın yerini gizleyen bir izleme noktası ve tekrar yönlendirme (relay) görevi görür.
Etkilenen Sistemler
Bu saldırılar, 2012-2015 yılları arasında yaygın olan Realtek’in RTL819X çiplerine sahip router’ları hedef almaktadır. XLab, 12 Mart 2026 tarihinden itibaren bir IP adresinden (107.150.106.14) yola çıkarak yayılmaya başladığını belirtmiştir. Enfekte olan cihazlar büyük ölçüde D-Link ürünlerinden oluşmakta, özellikle DIR-850L modelinin %75 gibi yüksek bir oranın temsil ettiği görülmektedir. Coğrafi olarak ise Güney Kore (%48) ve Çin (%32) başı çekmektedir.
İki Farklı Yapı, Aynı Amaç
AryStinger’ın iki ana yapısı mevcuttur: birincisi, eski donanımlar için hafif bir C ile yazılmış router yapısı, ikincisi ise daha fazla işlevsellik sunan Go ile yazılmış NAS yapısıdır. Her iki tür, HTTP/HTTPS üzerinden C2 sunucuları ile iletişim kurar ve enfekte olan cihazlar arasında büyük ölçekli tarama işlemleri gerçekleştirir.
Gelecekteki Tehditler
Bugün görülen AryStinger, geçmişte FBI ve Adalet Bakanlığı tarafından kapatılan 5socks ve Anyproxy gibi servislerle benzerlik göstermektedir. Mandiant’ın takip ettiği operasyonel tekrar yönlendirme kutuları (ORB) bu tür tehditlere karşı uyanık kalmamız gerektiğini gösteriyor. AryStinger gibi eski donanımları hedef alan bu tarz tehditler, devlet aktörleri tarafından kullanılmakta ve izlenmesi güç bir altyapı sağlamakta.
Çözüm ve Korunma
Bu saldırılara maruz kalmamak için, etkilenen cihazları kullananların dikkat etmesi gereken basit kontroller bulunmaktadır:
- AryStinger’ın C2 ve indirme alanlarına (ajb8.com ve bağlantılı hostlar) yönelik çıkış bağlantılarını kontrol edin.
- Bilinmeyen ikili dosyalar için /tmp/bin dizinini kontrol edin.
- syswapd0h veya syswapd0w adında prosesler olup olmadığını inceleyin.
Uzun vadeli çözüm, artık güncelleme almayan eski router’ları emekliye ayırmak ve dışarıya açık tüm cihazlarda uzak yönetimi kapatmaktır. 2016’da güncellemelerini durduran bir cihazın, artık yeni güncellemeler alması beklenmemelidir.
